信息安全技术网络安全等级保护测评要求第1部分：安全通用要求意见处理表.docx

资源描述

1、标准草案意见汇总处理表标准项目名称：信息安全技术信息系统安全等级保护测评要求又名：信息安全技术网络安全等级保护测评要求第 1 部分：安全通用要求承办人：陈广勇共 26 页标准项目负责起草单位：公安部信息安全等级保护评估中心电话： 18601190322 序号标准条文号意见内容提出专家 /提出单位处理意见备注一、标准草案第三稿， 2016 年 5 月 23日，评估中心大会议室， 2016 年 5 月 24 日填写 1. 标准范围标准范围应该包括内容范围和适用范围，标准适用的范围要描述清楚。全国信息

2、安全标准化技术委员会崔书昆采纳：在标准范围部分明确了本标准的适应范围。 2. 全文严格按照基本要求国家标准编制测评要求标准，确保测评指标与基本要求指标一致。海关总署科技司安全运行处李宏图采纳：已根据最新版的基本要求国家标准进行了调整。 3. 全文将标准全文的 “机密性 ”和 “保密性 ”统一为一个。国家能源局信息中心安全处陈雪鸿采纳：已统一为保密性。序号标准条文号意见内容提出专家 /提出单位处理意见备注 4. 全文格式要符合 GB/T 1.1-2009。国家新闻出版广电总局监管中心张瑞芝采纳：已根据 GB/T 1.1-2009 进

3、行了修改。 5. 术语定义术语定义要准确。全国信息安全标准化技术委员会崔书昆采纳：已对术语定义进行了修改。 6. 全文调整结构，去除不符合标准编写要求的悬置段。国家新闻出版广电总局监管中心张瑞芝采纳：已调整了全文中的悬置段。 7. 标准范围建议将 “本标准适用于为 ” 改为 “本标准适用于 ”。信息产业信息安全测评中心刘健采纳：已改为 “本标准适用于 ”。 8. 规范性引用文件规范性引用文件要写上国标号。信息产业信息安全测评中心刘健采纳：已在规范性引用文件前加上国标号。 9. 全文标题号数字过于细分，目录太深，标号需要调整。海关总署科技司安全运行处

4、李宏图采纳：已对标准全文进行了调整。序号标准条文号意见内容提出专家 /提出单位处理意见备注 10. 全文文章中出现的一些词：如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜哲不采纳：关键、重要等不适用放在术语定义中。 11. 全文建议添加英文缩略语章节，解释（如 VPN）等专业缩略词。中国农业银行范原辉不采纳：安全相关专有名词，不需要在本标准中再次说明。 12. 4.1 4.1 章节的测评框架说明，描述不通顺，需要修改。全国信息安全标准化技术委员会崔书昆采纳：已对测评框架说明进行了调整。 13. 全文建议给

5、出测评指标测评指标编码规则说明，便于阅读标准。中国农业银行范原辉采纳：已在附录中给出编码规则说明。 14. 全文岗位名称（如安全主管）尽量符合一般单位通常的称谓。通信研究院安全研究部副主任卜哲采纳：已在标准中调整。二、标准草案第四稿， 2016 年 8 月 12日，北京瑞安宾馆第 5 会议室， 2016 年 8 月 15 日填写 15. 范围第一页 1.范围， “本标准规定了 . 本标准适用于 .” ，建议为 “本部分 .” 国家信息中心刘蓓采纳：原为： “本标准规定了 . 本标准适用于 .” 改为：序号标准条文号意见内容提出专家 /提出单位

6、处理意见备注 “本部分规定了 . 本部分适用于 .” 16. 术语和定义安全等级保护测评的定义和方法放进术语里。国家信息中心刘蓓部分采纳：改为：定义放术语里，方法不适合放术语里。 17. 全文 “测评实施 ”中，如果测评实施项只有一项，不建议用 1）。国家信息技术安全研究中心李建采纳：改为：全文修改。 18. 全文是否可以在标准中增加测评方法论，对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩部分采纳：已经增加测评方法，其他在过程指南中解决。 19. 未对标准内容进行提出意见，建议测评报告模板后续跟着新标准变

7、动。李蒙采纳：测评报告模板后续跟着新标准变动。 20. 规范性引用规范性引用注明最新版适用于本标准，已经注明了最新版只需要引用到 22239.1 就够了。樊华采纳：已经调整。 21. 全文身份鉴别测试实施方面，身份鉴别的保护机制是否要加入测试，例如是否在 RSA的密码强度是否有要求，如 256 位和512 位是否都满足。樊华不采纳：密码强度各单位要求不一，不宜在标准中明确。 22. 8.2.4.5 8.2.4.5 章节，漏洞和风险管理中，漏洞和风险管理不止在运维方面，而是在信息系统全生命周期存在。在前面的内容中也应该考虑。林值采纳：随基本要求修订 23. 8.1.

8、4 8.1.2.6 和 8.1.3.5 中提到了恶意代码防范内容， 8.1.4 应用安林值采纳：序号标准条文号意见内容提出专家 /提出单位处理意见备注全里也应该增加恶意代码防范内容。恶意代码只是一部分，建议增加其他的漏洞问题。随基本要求修订 24. 8.1.4 是否应该增加源代码检测和二进制代码检测。林值不采纳：标准中已有源代码检测要求。三、标准草案第四稿，截止 2016 年 8 月 22 日， WG5 工作组成员单位征求意见， 2016 年 8 月 23日填写 25. 前言和引言前言和引言，内容有些交差，系列标准结构适合放在前言当中。

9、引言重点写三要性和背景。浙江蚂蚁小微金融服务集团有限公司不采纳：标准编制有规定格式要求，本标准满足相关要求。 26. 术语和定义 3 术语和定义应当按照 GB1.1 格式编写浙江蚂蚁小微金融服务集团有限公司采纳：已经调整。 27. 8.1.1.4.2 8.1.1.5.2 8.1.1.4.2 8.1.1.5.2 等建议根据信息系统不同等级要求明确对应的防雷、耐火材料等方面的等级要求，使之符合分等级保护的思想。浙江蚂蚁小微金融服务集团有限公司不采纳：防雷、耐火材料等属于基础设施建设相关范畴。 28. 8.1.3.3、8.1.3.4 8.1.3.3、 8.1.3.4 等上述几个条

10、款的测评对象应包含网络设备和安全设备浙江蚂蚁小微金融服务集团有限公司采纳：已经调整。 29. 附录 B 附录 B应为规范性附录，严格规范浙江蚂蚁小微金融服务集团有限公司采纳：修改为规范性附录序号标准条文号意见内容提出专家 /提出单位处理意见备注 30. 5.1.1.3.1 5.1.1.3.1 防雷击，设备接地测评判定，建议检测接地电阻。比如：直接搭接的直流电阻不大于 10m。可参考电磁兼容性 EMC 标准。南京中新赛克科技有限责任公司不采纳：机房或大楼建设有相关标准要求，建设完成后应有验收文档，这里采信验收文档即可。 31. 6.1.1.7 6

11、.1.1.7 防静电，设备接地测评判定，同上。南京中新赛克科技有限责任公司不采纳：机房建设有相关标准要求，建设完成后应有验收文档，这里采信验收文档即可。 32. 6.2.3.3.2 6.2.3.3.2 （ 7.2.3.3.2、 8.2.3.3.2）测评单元 c) 测评实施 1) 应访谈建设负责人，询问是否采用了密码产品，密码产品的采购和使用是否符合国家密码主管部门的要求。建议修改为： 1）检查是否使用了密码产品；如使用，检查该密码产品是否获得有效的国家密码管理规定的密码产品型号证书。 IBM 采纳：随基本要求变动进行修订。 33. 6.2.4.9 6.2.4.9 （ 7.2.4.9

12、、 8.2.4.9）密码管理 a) 测评指标应使用符合国家密码管理规定的密码技术和产品； c) 测评实施 1) 应访谈安全管理员，询问是否使用了密码产品，密码技术和产品的使用是否遵照国家密码管理规定。建议修改为：修改基本要求的相应部分并引用。 1）检查是否使用了密码产品；如使用，检查该密码产品是否获得有效的国家密码管理规定的密码产品型号证书。 2）检查网络安全产品中是否使用了密码模块；如使用，检IBM 采纳：随基本要求变动进行修订。序号标准条文号意见内容提出专家 /提出单位处理意见备注查该密码模块是否具有国家密码管理规定的密码模块检测报告。 34. 7.

13、2.4.7 7.2.4.7 恶意代码防范管理，缺少相对应的对可信计算技术的管理要求。 IBM 采纳：随基本要求变动进行修订。 35. 8.2.4.7 8.2.4.7 恶意代码防范管理，在 “基本要求 ”标准中，要求只能采用可信计算技术，而此处却只有查杀病毒方面的要求。 IBM 采纳：随基本要求变动进行修订。四、标准草案第四稿，截止 2016 年 8 月 22 日，等级测评机构反馈意见， 2016 年 8 月 23日填写 36. 第 4 章第 4 章中出现 “等级保护测评 ”、 “安全等级保护测评 ”、 “等级测评 ”名词，建议在第 3 章中明确其定义，并在全文使用中进行统一。

14、电力行业信息安全等级保护测评中心第四实验室采纳：全文调整。 37. 4.2 第 4.2 节中第 1 段第 1 句话可理解为对 “等级保护测评实施 ”的介绍或者解释，因此建议将 “等级保护测评实施的基本方法是针对特定的测评对象 ” 修改为 “等级保护测评实施是针对特定的测评对象 ” ，并将 “ 给出达到特定级别安全保护能力的评判 ”修改为 “ 给出是否达到特定级别安全保护能力的评判 ”。而且这段内容与 4.1 节内容有重叠，可以考虑合并。电力行业信息安全等级保护测评中心第四实验室部分采纳：已做调整。 38. 4.2 4.3 建议将 4.2 节和 4.3 节交换顺序，并将原 4.2

15、节中关于 “单项测评 ”的相关内容合并到原 4.3 节中。电力行业信息安全等级保护测评中心采纳：已做调整，将 4.2 节和 4.3 节进行了合并。序号标准条文号意见内容提出专家 /提出单位处理意见备注第四实验室 39. 7.1.2.4.2 第 7.1.2.4.2 节测评实施第 1）条，建议修改为 “应检查设备访问控制策略，访谈安全管理员每一条策略的用途，查看是否不存在多余或无效的访问控制策略 ”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 40. 7.1.3.2.4 第 7.1.3.2.4 节测评实施的第 2）条，与测评

16、指标无关，建议修改为 “应检查管理用户权限是否为其工作任务所需的最小权限 ”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 41. 7.1.3.3.4 第 7.1.3.3.4 节测评实施中，建议不要列出测评对象 “服务器操作系统和数据库管理系统 ”，与 “b) 测评对象无法对应 ”，在理解上容易混淆。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 42. 7.1.3.4.2 第 7.1.3.4.2 节测评实施中第 2）条，建议修改为“应确认是否已关闭非必要的高危端口”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 43. 7.1.

17、3.4.4 第 7.1.3.4.4 节测评实施中第 1）条，建议修改为“应进行漏电力行业采纳：序号标准条文号意见内容提出专家 /提出单位处理意见备注洞扫描，检查是否不存在高风险漏洞”。信息安全等级保护测评中心第四实验室已做调整。 44. 7.1.4.1.1 第 7.1.4.1.1 节测评实施第 5）条，建议修改为“应检查用户配置信息或访谈应用系统管理员，查看是否不存在空密码用户” 电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 45. 7.1.4.2.5 第 7.1.4.2.5 节测评实施第 3）条，建议修改为 “应测试用户是否不存在

18、可越权访问情形 ”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 46. 10.1 第 10.1 节中 “安全控制点测评是指对其所有要求项的符合程度进行分析和判定。 ”中 “其 ”理解上容易有歧义，建议修改为 “单个控制点中 ”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。 47. 10.3 10.4 第 10.3 和 10.4 节中第 2 段内容均只给出了 “如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失，该安全控制点的测评结论应调整为符合 ”的情况，那如果在安全控制点间和层面间分析时发现不电力行业信息安全等级保护

19、测评中心不采纳： “安全控制点、安全控制点间、层面间 ”测评是并列关系，有一个不符合则该控制点为不序号标准条文号意见内容提出专家 /提出单位处理意见备注能完全形成弥补效果，即相应控制点测评结论无法调整为符合时应该怎么处理？是否也应该在此说明？第四实验室符合。 48. 5.1.1 建议机房安全的测评对象可细化到机房内的对应设施。江苏金盾杨超不采纳：标准粒度不宜过于细化 49. 6.1.1.2.1 6.1.1.2.1 测评单元（ L2-PES1-03） C）测评实施中 1）和 2）感觉内容上有重复，建议删掉一条，再增加一条对专人值守记录或机房人员进出记录

20、验证的条款。江苏金盾杨超采纳：已做调整。 50. 6.1.1.2.2 6.1.1.2.2 测评单元（ L2-PES1-04） c) 测评实施中建议对监控记录进行细化，明确监控记录需包含哪些内容，如人员进出记录、视频监控记录等，如果这里包含了人员进出记录那么上面 6.1.1.2.1 一条建议就可不必修改。江苏金盾杨超不采纳：具体监控内容由各单位自行定义，需针对不同对象分别设置，如厂商人员和检查人员的监控内容就不一样。 51. 7.1.1.3.3 建议 7.1.1.3.3 测评单元（ L3-PES1-06） C）测评实施中增加监控视频可回放时间要求，如至少 90 天。江苏金盾杨

21、超不采纳：监控视频保存时间由各单位自行要求。 52. 11.3 建议 11.3 中也注明测评结论是对整体测评之后单项测评结果的风险分析给出的。江苏金盾杨超不采纳：测评流程中已明确，先进行整体测评，然后才能给出测评结论。 53. 第 9 章测评实施及单项判断中未明确一票否决项，即哪一分项不符合则该指标项直接判定为不符合。江西神舟信息安全评估中心有限公司不采纳：单项判定已明确哪些是必须要做到。 54. 全文网络设备 “安全审计 ”部分归入 “网络和通信安全 ”层面，但“身份鉴别 ”等层面确归入 “设备与计算安全层面 ”，现场测评与结果记录如何明确？江西神舟信息安全评估中心不采纳：本标准根据基本要求条款编制。

展开阅读全文